ccnp笔记--ACL.doc

ACLStandard 1-99 标准的访问列表Extended 100-199 扩展的访问列表路由器对自己产生的包不作过滤Show ip access-list注意在接口下调用ACL，不要破坏邻居关系和路由的传输Access-list 100 permit ip 2.2.2.2 0.0.0.0 host 3.3.3.3 允许2访问3Access-list 100 permit ospf any any 允许路由信息过去默认的deny语句No 10 在命名访问列表中去掉一条语句10 permit icmp host 2.2.2.2 host 3.3.3.3 加入一条语句15 permit tcp any anyICMP 去的时候是echo包，回来的时候是echo-reply包10 permit icmp host 2.2.2.2 host 3.3.3.3 echo 只允许echo包过去10 permit icmp host 2.2.2.2 host 3.3.3.3 echo-reply 只允许echo-reply包过去ACL可在VTY下调用，但只能用标准列表Access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnet 只允许1.1.1.1能够telnet到3.3.3.3上去Access-list 100 permit ospf any any Access-list 100 permit tcp host 1.1.1.1 eq telnet host 3.3.3.3 只允许1.1.1.1的23端口访问3.3.3.3的任意端口Line vty 0 4Access-class 10 in 在VTY接口下调用，作用同上, 但要注意只能用标准列表，不能用扩展列表，用扩展列表不起作用。Access-list 10 permit 1.1.1.1telnet 3.3.3.3 /source interface lo0 动态ACL dynamic ACL思路：让主机先在网关服务器认证，才能出去在服务器上先允许主机登录网关服务器，通过认证后，动态生成一条允许主机通过的ACL1、 username cisco password cisco 设主机名和密码2、 ip access-list extended wolf 定义命名访问列表并在入口调用 permit tcp host 12.1.1.2 host 12.1.1.1 eq telnet3、 line vty 0 4 起用用户名和密码 login local4、 ip access-list extenede wolf dynamic gz permit ip host any any dynamic gx timeout 5 permit ip any any 作用同上，注意这里的5分钟是绝对时间，表示你只能上5分钟5、 line vty 0 4 在line下调用 autocommand access-enable host timeout 1 这里的1分钟是相对时间，只要在1分钟内有联系就不会断开，不加这一时间表示不超时 R1#access-enable host timeout 1 在特权模式下调用 Establish ACL允许ACK/RST=1的TCP报文通过，通常用于只允许内部的主机向外部发起TCP连接，不允许外部的主机向本网发起TCP连接Ip access-list extended 1005 permit tcp host 3.3.3.3 eq telnet host 12.1.1.2 establish 注意这条语句的方向性，允许源的23端口访问我的任意端口，但ASK必须置位10 deny ip